Ubuntu Syslog日志存储策略：如何选择合适的存储方案

Ubuntu Syslog 日志存储策略选型与落地

一 架构与组件选择

• 现代 Ubuntu 同时存在两套日志栈：一是 systemd-journald（二进制、结构化、集中式），二是 rsyslog（文本文件、规则化输出到 /var/log/）。二者可协同工作：journald 负责采集与索引，rsyslog 负责按文件与业务维度落盘与转发。默认 Storage=auto，当 /var/log/journal 存在时使用持久化，否则仅保存在内存（重启丢失）。建议服务器环境启用持久化，以获得完整的审计与取证能力。对于高并发/结构化查询场景，优先利用 journald 的索引与二进制存储；对于传统运维与合规归档，依赖 rsyslog 的文本文件与 logrotate 更直观。

二 容量与保留策略设计

• 容量上限与保留时间建议以“上限约束 + 时间保留”双轨制设计：
  • journald：通过 SystemMaxUse/RuntimeMaxUse 设置日志最大占用（如 1–10G），通过 MaxRetentionSec 设置最长保留（如 2weeks）。到达上限或超期自动清理最旧数据，便于严格控盘。
  • rsyslog：通过 logrotate 的 size/maxsize + rotate 组合间接控制总量。例如：单个文件 100M、保留 100 个，理论总量约 10G（实际会有波动）。也可按天轮转并限制份数（如 daily + rotate 7）。
  • 快速对照
    • 严格控盘：journald 配额（SystemMaxUse/MaxRetentionSec）
    • 易运维与归档：rsyslog + logrotate（size/maxsize + rotate）
    • 统一查询：journald 为主，rsyslog 文本为辅
  • 示例目标：本地总日志容量不超过 10G，关键文本日志保留 ≥7 天，审计类保留 ≥2 周。

三 推荐方案与配置示例

• 方案A 单机控盘优先（journald 为主）

  • 启用持久化：创建目录并设置权限
    • sudo mkdir -p /var/log/journal
    • sudo systemd-tmpfiles --create --prefix /var/log/journal
  • 配置 /etc/systemd/journald.conf
    • Storage=persistent
    • SystemMaxUse=10G
    • MaxRetentionSec=2weeks
    • Compress=yes
  • 使配置生效：sudo systemctl restart systemd-journald
  • 说明：此方案以“配额 + 时间”严格控盘，适合磁盘有限且需审计留痕的服务器。

• 方案B 传统文本归档优先（rsyslog + logrotate）

  • 编辑 /etc/logrotate.d/rsyslog
    • /var/log/syslog
      • daily
      • maxsize 100M
      • rotate 100
      • compress
      • delaycompress
      • missingok
      • notifempty
      • postrotate
        • /usr/lib/rsyslog/rsyslog-rotate
      • endscript
    • /var/log/mail.* /var/log/daemon.log /var/log/kern.log /var/log/auth.log /var/log/user.log /var/log/cron.log
      • weekly
      • rotate 4
      • compress
      • delaycompress
      • missingok
      • notifempty
      • sharedscripts
      • postrotate
        • /usr/lib/rsyslog/rsyslog-rotate
      • endscript
  • 说明：以“大小触发 + 份数保留”间接控盘，便于按业务拆分与文本化归档。若进程不便重启写入，可在单文件策略中加入 copytruncate（权衡：可能丢少量在轮转瞬间写入的日志）。

• 方案C 集中式与分级存储（中心化 + 本地兜底）

  • 在业务服务器将日志同时转发到远程日志服务器（减轻本地磁盘压力，便于统一检索与合规）：
    • 在 /etc/rsyslog.conf 或 /etc/rsyslog.d/ 添加
      • . action(type=“omfwd” target=“log.example.com” port=“514” protocol=“tcp” action.resumeRetryCount=“-1”)
  • 本地仍保留短期文本与 journald 快速查询，远程侧集中存储与长期保留（如按日分区、冷热分层）。

四 运维与应急要点

• 观测与容量评估
  • 查看 journal 占用：journalctl --disk-usage
  • 按条件清理：journalctl --vacuum-size=500M 或 --vacuum-time=1week
• 变更与演练
  • 测试 logrotate 规则：logrotate -d /etc/logrotate.d/rsyslog（调试不生效），确认无误后再执行
• 突发爆量处置
  • 临时释放空间：truncate -s 0 /var/log/syslog（先定位根因，再清理）
  • 若由 Docker 容器产生大量日志，限制驱动与大小（如 json-file：max-size=10m，max-file=3）
• 安全与合规
  • 限制访问权限（如 /var/log 下关键文件 0640 root adm），必要时启用 journald 的 ForwardSecureSealing=FSS 做防篡改取证（需额外密钥管理）。